La herramienta de seguimiento de clics del ratón de los empleados de Meta está recopilando datos de la UE que dijo que no recopilaría.

      Los documentos internos muestran que la Iniciativa de Capacidad del Modelo captura correos electrónicos y chats que los empleados estadounidenses intercambian con colegas europeos, poniendo el programa de entrenamiento de agentes de IA en un curso de colisión con el GDPR.

      La Iniciativa de Capacidad del Modelo de Meta, el programa de vigilancia que desplegó en los puestos de trabajo de los empleados estadounidenses en abril para capturar pulsaciones de teclas, clics del ratón y contenidos de pantalla para el entrenamiento de agentes de IA, está recopilando sustancialmente más datos de empleados europeos de lo que Meta ha reconocido públicamente, según una exclusiva de Reuters el jueves que cita documentos internos de Meta.

      Los abogados de privacidad en NOYB, con sede en Viena, argumentan que la arquitectura documentada pone a Meta en un curso de colisión con el GDPR.

      El problema estructural es uno de alcance. Meta ha informado consistentemente al personal, a los reguladores y al público que la MCI solo opera en máquinas de trabajo basadas en EE. UU. y no vigila a los empleados europeos.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! La Comisión de Protección de Datos de Irlanda, el supervisor principal de privacidad de la UE de Meta bajo el GDPR, fue informada de lo mismo. Sin embargo, los documentos internos que revisó Reuters muestran que la MCI captura el contenido de cualquier correo electrónico o mensaje que un empleado de Meta basado en EE. UU. envíe o reciba, independientemente de dónde se encuentre la otra parte.

      Cada chat que un trabajador de Meta en California tiene con un colega de Meta en Dublín, París o Múnich está siendo ingerido en la tubería de entrenamiento. Cada correo electrónico que un gerente de cuentas basado en EE. UU. envía a un cliente europeo está, en la misma arquitectura, siendo capturado.

      El marco legal es la parte que importa. El principio de limitación de propósito del GDPR sostiene que los datos personales recopilados para un propósito, en este caso la comunicación laboral bajo un contrato de empleo, no pueden ser reutilizados posteriormente para un fin no relacionado, en este caso, entrenar un modelo de IA de vanguardia.

      La formulación del caso por parte de NOYB, resumida en una declaración a Reuters, es que "tomar el chat de un empleado e ingerirlo en un modelo de IA es incompatible con el propósito inicial" para el cual se envió el mensaje.

      El argumento de reutilización no requiere que Meta esté monitoreando activamente a los empleados europeos; el mero hecho de que los datos personales europeos estén siendo incorporados al conjunto de entrenamiento es, según la interpretación de NOYB, la violación del GDPR.

      El caso se sitúa dentro de una relación Meta-UE ya tensa. La Comisión Europea extrajo compromisos de consentimiento de usuarios sobre publicidad dirigida de Meta el año pasado.

      El Tribunal de Justicia de la UE falló en contra de Meta en un caso de pago a editores italianos en 2024, y la compañía está actualmente desafiando a Ofcom en el Tribunal Superior del Reino Unido sobre las tarifas de la Ley de Seguridad en Línea.

      NOYB ha exigido por separado que 11 autoridades de protección de datos europeas detengan a Meta de usar datos personales para el entrenamiento de IA. Por lo tanto, el caso de la MCI no es la primera lucha de privacidad de Meta en Europa relacionada con el entrenamiento de IA, pero es la primera en la que la lucha por la privacidad pasa a través de los propios empleados de la compañía en lugar de sus usuarios de productos de consumo.

      La lógica comercial subyacente también merece una pausa. La MCI se encuentra dentro del programa más amplio de Acelerador de Transformación de Agentes de Meta, dirigido por Meta SuperIntelligence Labs y destinado a entrenar a la familia de modelos Muse Spark para realizar tareas laborales de múltiples pasos de forma autónoma.

      Los datos de pulsaciones de teclas y clics del ratón son lo que enseña a los modelos cómo los trabajadores humanos navegan realmente por Google Docs, LinkedIn, Wikipedia y las aproximadamente 200 otras aplicaciones que cubre la MCI. El corpus de entrenamiento, en otras palabras, depende estructuralmente de observar a trabajadores reales realizando tareas laborales reales.

      La decisión de Meta de utilizar a sus propios empleados estadounidenses en lugar de trabajadores externos remunerados es lo que le da a la compañía su ventaja de datos; también es lo que crea la exposición al GDPR.

      Los documentos internos también plantean la cuestión de si la ingestión de datos europeos de la MCI es incidental o sistemática. Meta ha posicionado la captura europea como un desbordamiento accidental, el resultado inevitable de ejecutar la herramienta en máquinas de EE. UU. que se comunican con colegas europeos.

      La formulación importa porque el GDPR sí establece excepciones para el procesamiento incidental en algunos contextos. La respuesta de NOYB es que el volumen y la rutina de la captura, cada correo electrónico, cada chat, todo el tiempo, excede cualquier cosa razonablemente describible como incidental. La DPC irlandesa tendrá que decidir qué formulación se aplica.

      El CTO de Meta, Andrew Bosworth, ha confirmado anteriormente que no hay opción de exclusión para los empleados estadounidenses. Los empleados europeos están formalmente exentos porque el GDPR no permitirá un monitoreo equivalente; los documentos ahora sugieren que esa exención opera más como un eslogan que como un límite impuesto.

      La IDPC aún no ha abierto una investigación formal. Meta no ha comentado por separado sobre los hallazgos de Reuters. El caso será una de las primeras pruebas materiales de cómo se aplica el principio de limitación de propósito del GDPR a los flujos de datos de entrenamiento de IA que cruzan el Atlántico.